Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système d’authentification, etc.), il est encore possible de l’arrêter avant qu’il n’attaque. Placés sur le réseau de l’entreprise, les outils de détection d’intrusion décèlent tout comportement anormal ou trafic suspect.
Malgré la mise en place de solutions d’authentification, chargées de filtrer et de contrôler les accès au réseau, il arrive que des intrus y pénètrent. C’est même le propre des pirates que de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des systèmes. Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les applications. Interviennent alors les systèmes de détection d’intrusion. En auscultant en permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur.
Protégeant l’entreprise des attaques externes, ces systèmes sont également capables de détecter le pirate interne qui représente encore entre 70 à 80% des actes de malveillance auxquels sont confrontées les sociétés. Il existe deux catégories d’outils sur le marché : la première analyse le trafic réseau, la seconde étudie le comportement des utilisateurs au niveau d’un système ou d’une application.
Dans tous les cas, des ressources humaines devront être affectées à la supervision des systèmes de détection d’intrusion pour gérer les alertes, mais aussi pour détecter ce que les outils n’auront peut-être pas vu. Coûteuses, ces ressources freineraient aujourd’hui les entreprises dans l’adoption de ces solutions.
Page suivante : III.10 Surveillance du trafic réseau
Retour au menu : LA SECURISATION DES SERVEURS DES DONNEES DE L’ENTREPRISE SOUS ISA SERVEUR 2006